Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoría de Sistemas:
Es el examen o revisión de carácter objetivo
(independiente), crítico(evidencia),
sistemático (normas), selectivo (muestras) de
las políticas, normas, prácticas, funciones,
procesos, procedimientos e informes
relacionados con los sistemas de información
computarizados, con el fin de emitir una
opinión profesional (imparcial) con respecto a:
Eficiencia en el uso de los recursos informáticos
Validez de la información
Efectividad de los controles establecidos
Auditoría de Sistemas:
Financiera
Veracidad estados financieros
Preparación de informes de acuerdo a principios
contables
Operacional
Evalúa la eficiencia, eficacia
Economía de los métodos y procedimientos
que rigen un proceso de una empresa
Sistemas
Se preocupa de la función informática
Tipos de Auditoría
Fiscal
Se dedica a observar el cumplimiento de las
leyes fiscales
Administrativa
Analiza:
Logros de los objetivos de la Administración
Desempeño de funciones administrativas
Calidad
Evalúa métodos, mediciones y controles de
los bienes y servicios
Tipos de Auditoría
Interna
Existe por expresa decisión de la empresa y
puede optar por su disolución en cualquier
momento
Externa
Es realizada por personas afines a la empresa
para alcanzar una mayor objetividad ya que
hay mayor distancia entre auditor y auditado
Objetivos Generales de una
Auditoría de Sistemas
Buscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados diseñados e
implantados por el PAD
Incrementar la satisfacción de los usuarios de los
sistemas computarizados
Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
Conocer la situación actual del área informática y las
actividades y esfuerzos necesarios para lograr los
objetivos propuestos.
Objetivos Generales de una
Auditoría de Sistemas
Seguridad de personal, datos, hardware,
software e instalaciones
Apoyo de función informática a las metas y
objetivos de la organización
Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
Minimizar existencias de riesgos en el uso de
Tecnología de información
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en
los Sistemas de Información
Justificativos para efectuar
una Auditoría de Sistemas
Aumento considerable e injustificado del
presupuesto del PAD (Departamento de
Procesamiento de Datos)
Desconocimiento en el nivel directivo de la
situación informática de la empresa
Falta total o parcial de seguridades lógicas
y físicas que garanticen la integridad del
personal, equipos e información.
Descubrimiento de fraudes efectuados con
el computador
Justificativos para efectuar
una Auditoría de Sistemas
Falta de una planificación informática
Organización que no funciona correctamente,
falta de políticas, objetivos, normas,
metodología, asignación de tareas y adecuada
administración del Recurso Humano
Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
Falta de documentación o documentación
incompleta de sistemas que revela la dificultad
de efectuar el mantenimiento de los sistemas en
producción
Controles
Conjunto de disposiciones
metódicas, cuyo fin es vigilar las
funciones y actitudes de las
empresas y para ello permite
verificar si todo se realiza conforme
a los programas adoptados, ordenes
impartidas y principios admitidos
Clasificación general de los
controles
Controles Preventivos: Son aquellos
que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto
margen de violaciones . Ejemplo: Letrero
“No fumar” para salvaguardar las
instalaciones sistemas de claves de acceso.
Controles detectivos: Son aquellos que
no evitan que ocurran las causas del riesgo
sino que los detecta luego de ocurridos.
Son los más importantes para el auditor. En
cierta forma sirven para evaluar la
eficiencia de los controles preventivos.
Ejemplo: Procedimientos de validación
Clasificación general de los
controles
Controles Correctivos: Ayudan a la
investigación y corrección de las causas del
riesgo. La corrección adecuada puede
resultar difícil e ineficiente, siendo
necesaria la implantación de controles
detectivos sobre los controles correctivos,
debido a que la corrección de errores es en
si una actividad altamente propensa a
errores.
COBIT
Datos
Sistemas de Información
Tecnología
Instalaciones
Recursos humanos
Recursos de TI-Dominios
El Cobit se encuentra dividido en cuatro
Dominios:
1. Planeación y Organización
PO1. Definir un plan estratégico de sistemas
PO2. Definir la arquitectura de información
PO3. Definir la dirección tecnológica
PO4. Definir la organización y sus relaciones
....
PO11. Administrar calidad
2. Adquisición e Implementación
AI1. Identificar soluciones de automatización
AI2. Adquirir y mantener software de aplicación
AI3. Adquirir y mantener la arquitectura tecnológica
....
AI6. Administrar cambios
Procesos
3. Prestación de servicios y soporte
DS1. Definir niveles de servicio
DS2. Administrar servicios a terceros
DS3. Administrar desempeño y capacidad
....
DS13. Administrar la operación
4. Monitoreo
M1. Monitorear el proceso
M2. Evaluar lo adecuado del control interno
M3. Obtener aseguramiento independiente
M4. Proporcionar auditoria independiente
Procesos-Actividad o
Tarea
Para cada uno de estos Procesos el COBIT
define las actividades o tareas relacionadas.
Además identifica los Objetivos de Control.
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de la información
El auditor
Las normas que regulan el comportamiento del
auditor se pueden clasificar de la siguiente
manera: